Internet và 10 lỗi an ninh phổ biến nhất cần tránh

0
56

Có khá nhiều công ty dành một khoản tiền nhỏ trong doanh thu hàng năm của mình và thuê một đội ngũ gồm vài nhân viên để bảo vệ mình khỏi vô số các nguy cơ bảo mật đang diễn ra từng ngày.

Internet và 10 lỗi an ninh phổ biến nhất cần tránh
Nhưng tất cả những nỗ lực đó có thể trở nên công cốc nếu họ phạm phải một trong số những lỗi thường gặp dưới dây. Hậu quả có thể làm mất thể diện công ty, hoặc cũng có thể gây tác hại to lớn, nhưng may thay, bạn có thể dễ dàng tránh được điều này.
Và toàn bộ việc này có thể tiến hành chỉ với một chút thời gian.
Dưới đây là 10 lỗi bảo mật thường gặp nhất cần tránh:

1. Tiết lộ bí mật công ty bằng một cú nhấn chuột

Phần lớn những nguy cơ an ninh phổ biến nhất đều là kết quả của những thói quen lặt vặt có thể dễ dàng từ bỏ.
Ví dụ như, hãy thử tưởng tượng xem bạn sẽ phòng tránh được bao nhiêu vụ rò rỉ thông tin nếu nhân viên của bạn học cách tắt tính năng “autofill” (tự động điền) địa chỉ email trong Microsoft Outlook và các chương trình nhắn tin khác – Steve Roop, phó giám đốc marketing và sản phẩm tại Symantec cho biết.
“Khi nhân viên vội vàng trả lời mail, họ thường nhấn nhầm tên. Vậy là thay vì gửi mail cho Eric Friendly, anh ta lại gửi cho Eric Foe,” Roop nói. “Đây là lỗi rất thường gặp. Nhưng nếu bức emal chứa những dữ liệu nhạy cảm về kế hoạch mua bán hoặc sát nhập, thì bí mật đã bị bật mí.”
Có khoảng 90% số vụ rò rỉ thông tin bắt nguồn từ việc gửi nhầm địa chỉ email do tính năng autofill hoặc lỗi bảo mật gây ra, Roop nói. Chỉ cần tắt chức năng này đi là các công ty đã bớt đi khối vụ đau đầu mà không phải trả thêm phí tổn nào hết.

2. Để lộ password và dữ liệu mật mà không hề đắn đo

Người dùng nội bộ — không phải những kẻ đột nhập từ bên ngoài — rất hay để lộ password và thông tin cá nhân cho phép tin tặc đột nhập vào hệ thống để phá hoại và làm hoen ố tên tuổi của họ.
Dave Marcus, giám đốc nghiên cứu an ninh và truyền thông tại McAfee cho biết, mặc dù đã được đào tạo những kiến thức về phishing, spyware và các vụ website bị hack, nhưng nhiều người dùng vẫn vô tư cung cấp thông tin bất cứ khi nào được hỏi mà không kiểm tra lại xem họ có bị lừa hay không. “Mọi người thường tin tưởng vào tính hợp pháp của website họ đang ghé thăm, một điều nguy hiểm trong thế giới mạng,” Marcus nói. “Cách dễ nhất để đánh cắp nhân dạng một người là bảo họ trao cho bạn những thông tin đó.”

3. Niềm tin đặt không đúng chỗ

Một lỗi bảo mật phổ biến khác đó là người dùng thường tin tưởng trao những thông tin nhạy cảm như số liệu nhân lực của mình cho các đối tác làm ăn hoặc các nhà cung cấp dịch vụ outsourcing, Roop nói. Tình hình càng tệ hơn nếu những tin tức gửi đi không được mã hoá.
“Người dùng thường nhầm tưởng rằng anh bạn ở phòng nhân sự outsource sẽ không gửi danh sách của mình đi nơi khác hoặc lưu lại nó trên chiếc laptop không khoá của anh ta,” ông nói. “Nguy cơ này hiện hữu tại bất cứ đâu mà dữ liệu được chia sẻ qua email theo như thủ tục làm ăn với bên thứ ba.”

4. Sử dụng ứng dụng nền tảng Web

Cũng theo Marcus, một hành vi khác thường gây ra các vấn đề bảo mật chính là việc sử dụng Webmail hay cho phép nhân viên truy cập vào các trang web down nhạc hoặc chia sẻ file từ mạng lưới công ty.
Những ứng dụng nền tảng web như Webmail dễ dàng lọt qua bộ lọc an ninh máy tính, hoặc mở một kênh ra không gian mạng chứa đầy virus.
Và nếu như nhân viên của bạn đem việc về nhà làm, thì nguy cơ sẽ còn tiếp tục nhân lên, Marcus cho biết. Nếu họ làm việc và thực hiện các hoạt động cá nhân trên cùng một máy tính, chiếc máy tính đó rất dễ bị xâm nhập. Nếu họ mang dữ liệu về nhà – qua email hoặc cổng USB – nguy cơ mất cắp dữ liệu càng lớn.
Tất cả những nguy cơ trên có thể dễ dàng phòng tránh bằng việc áp dụng quy định buộc nhân viên sử dụng ứng dụng mail an toàn qua VPN hoặc các kênh mã hoá (với email), hoặc không cho phép người dùng cài đặt ứng dụng lên máy tính công ty, copy dữ liệu vào ổ lưu trữ ngoài (nếu đem việc về nhà làm). Bạn có thể tiến hành việc này bằng cách sử dụng ứng dụng quản lý hệ thống. Việc nhân viên sử dụng email để gửi dữ liệu thì khó ngăn chặn hơn một chút, nhưng bạn có thể khắc phục bằng chương trình mã hoá.

5. Mất bò mới lo làm chuồng

Chẳng ai muốn trở thành nạn nhân của một vụ rò rỉ dữ liệu, nhưng bạn cần hành động như thể việc đó đang diễn ra – đây là lời khuyên của Kevin Mandia, giám đốc điều hành Mandiant, công ty chuyên về công cụ phần mềm và dịch vụ phân tích an ninh. Bằng cách này, tất cả các công ty đều có thể giảm được tác động của một vụ rò rỉ dữ liệu khi nó thực sự diễn ra. Nhưng thật không may, phần lớn bọn họ đều đợi đến lúc quá muộn mới tiến hành kiểm tra hoặc đưa ra chiến thuật đối phó.
Vì thế mỗi công ty nên ghi lại dòng chảy dữ liệu, rằng nhân viên nào đã truy cập vào hệ thống nào vào thời điểm nào để sử dụng dữ liệu. Nhưng chẳng có mấy người làm như vậy. Mandia nói: “Chẳng có gì ngạc nhiên khi lỗi phổ biến nhất thường gặp là việc không ghi lại cụ thể hoạt động đã diễn ra… Khi khách hàng tìm đến chúng tôi, điều đầu tiên chúng tôi cần biết là các văn bản liên quan, và thường thì họ sẽ nộp cho chúng tôi hàng terabyte dữ liệu mà không có ghi chép chính thức nào cả. Các kỹ thuật viên xem thường việc này, còn các luật sư thì không quản lý chúng. “

6. Phân bố nhân lực không hợp lý

Các công ty thường tự làm giảm khả năng phản ứng trước những tình huống xấu bằng cách chỉ định duy nhất một người hoặc một nhóm nhỏ chịu trách nhiệm về việc xử lý rủi ro và quản lý những thông tin quan trọng.
Tại nhiều công ty, quá trình này trở thành một trò chơi truyền lửa giữa nhiều người, còn ở một số công ty khác lại có quá nhiều người chịu trách nhiệm giải quyết sự cố đến nỗi chính họ trở thành vật cản cho quá trình điều tra.
Mandia nói: “Mỗi khi chúng tôi tiến hành xử lý, thường thì chẳng có ai chịu trách nhiệm, hay đúng hơn là muốn chịu trách nhiệm, cũng chẳng ai biết thông tin về nguồn tài chính, công cụ hay công nghệ để giải quyết sự cố, cũng không ai có thể cân bằng giữa công việc hàng ngày với lượng dữ liệu cần thiết để khắc phục rủi ro.”
“Mặt khác, một số công ty lại cử quá nhiều người tham gia vào việc ra quyết định giải quyết sự cố. Mỗi khi làm việc, chúng tôi thường phải giảm bớt số lượng người xuống còn 12 – loại ra 10 người không cần thiết,” anh nói.

7. Giấu giếm thông tin

Một vấn đề thường gặp khác là các công ty thường không biết cư xử đúng cách khi có sự cố, khiến các nhà điều tra khó lòng làm tròn trách nhiệm của mình bởi mỗi khi nhân viên phát hiện ra sự cố, họ lại lập tức bảo vệ riêng bản thân mình.
Theo Mandia, nếu có người ngoài tham gia vào vụ việc, họ cũng hay lợi dụng ưu thế về thông tin của mình để lấp liếm quá trình tìm hiểu và che giấu việc làm của họ.

8. Tin tưởng tuyệt đối vào công nghệ

Khi các quy định về bảo vệ dữ liệu ngày càng trở nên phổ biến tại các công ty, ngày càng nhiều công ty đầu tư vào các giải pháp kỹ thuật để lấp lỗ hổng an ninh cho mình. Nhưng nếu họ nghĩ rằng việc sử dụng công nghệ hoặc áp dụng quy định đã là quá đủ thì họ đã nhầm.
“Vấn đề lớn nhất ở đây là mọi người cho rằng những công cụ đơn giản như phần mềm diệt virus, bản vá lỗi, và chương trình quét lỗ hổng cũng đủ để bảo vệ công ty họ. Thực ra họ không nhìn nhận vấn đề từ quan điểm quản lý rủi ro — họ chỉ làm cho có mà thôi,” Mike Rothman, nhà phân tích tại Security Incite cho biết.
Các công ty thường tự huyễn hoặc mình bằng cách tiến hành kiểm tra định kỳ một cách giới hạn và cho rằng không cần phải thực hiện thêm bất kỳ biện pháp nào nữa. “Mọi người thường nghĩ rằng khi kết quả kiểm tra tốt là họ đã an toàn,”Rothman nói. “Sau đó thì vài tên tin tặc sẽ chứng minh cho họ thấy điều đó là hoàn toàn sai.”

9. Cào bằng tầm quan trọng của mọi vấn đề

Cũng theo Rothman, một cái bẫy khác mà các công ty thường mắc phải là việc áp dụng cùng một mức độ bảo vệ cho tất cả những hệ thống có tầm quan trọng khác nhau cho sự an toàn và thành bại của công ty.
“Một số người đã sai lầm khi coi tất cả các vấn đề như nhau, dành một lượng chi phí và thời gian như nhau để bảo vệ một ứng dụng cũ kỹ chỉ có 5 người sử dụng và một ứng dụng cung cấp cho toàn bộ khách hàng,” anh nói.
Việc làm này không chỉ là một sự lãng phí khủng khiếp, mà còn gây ra những vấn đề nghiêm trọng sau khi ngân quỹ đã cạn kiệt. “Các chuyên viên an ninh thường không biết cân nhắc ngân sách hợp lý,” Rothman cho biết. “Họ nên tìm hiểu hậu quả sẽ xảy ra nếu một hệ thống bị lỗi và học cách chi tiêu hợp lý.”

10. Lưu dữ liệu không cần thiết

Không chỉ ảnh hưởng đến công ty, lỗi này còn gây thiệt hại cho khách hàng, bởi rất nhiều công ty xử lý thẻ tín dụng vô tình lưu trữ số liệu giao dịch trên máy tính. Việc này có thể gây rò rỉ thông tin khách hàng và làm sai lệch quá trình kiểm toán PCI.
“Thường thì các công ty không nhận ra rằng rất nhiều tin tặc hay nhân viên xấu tính cần có dữ liệu này để làm thẻ tín dụng giả,” Roop của Symantec nói. “Đây là nguyên nhân chủ yếu khiến kết quả kiểm toán bị sai lệch. Chúng ta có thể thấy rất nhiều những ví dụ loại này đang diễn ra.”
Thậm chí ngay cả những công ty không thu thập dữ liệu thẻ cũng cần đảm bảo rằng họ chỉ lưu trữ thông tin cần thiết cho việc kinh doanh, Roop nói. Việc giữ khư khư một thứ mà bọn tội phạm cần dùng mà không có lý do nào hết sẽ đẩy bạn vào rắc rối, và nếu như những dữ liệu này thực sự cần thiết cho bạn thì hãy áp dụng những biện pháp bảo vệ thật chặt chẽ.

BÌNH LUẬN

Please enter your comment!
Please enter your name here